Sin diagnósticos ni evaluaciones de riesgos claros, la protección empresarial se
vuelve reactiva. Expertos explican cómo entender el panorama para definir
mejoras de manera pragmática.
Decidir en qué invertir para fortalecer la ciberseguridad empresarial es uno de los mayores retos para el 40% de los líderes en América Latina. Según la encuesta más reciente de Kaspersky a responsables de seguridad digital en la región, más de la mitad de las organizaciones (56%) tampoco cuenta con un calendario regular de evaluaciones de riesgo, por lo que terminan actuando de manera reactiva y revisan sus medidas de protección solo cuando ocurre un incidente o aparece una alerta externa.
El estudio también revela que, aunque la mayoría de las empresas en la región
realiza simulaciones de incidentes, 43% cada mes y 38% de forma trimestral, una de cada cinco no tiene ninguna rutina de pruebas. La falta de estas prácticas abre una brecha crítica que compromete su preparación real frente a un ataque. Sin un plan estructurado, los equipos de seguridad dejan de identificar vulnerabilidades ocultas y no desarrollan la resiliencia que exige el panorama de ciberamenazas actual.
Otro dato relevante es que el 29% de los encuestados afirma no contar con una estrategia clara de seguridad. Esto refuerza que, para muchas organizaciones, el reto no solo está en saber qué se necesita hacer, sino en la falta de una directriz estructurada que guíe las decisiones, priorice los recursos y defina el nivel mínimo de protección necesario.
Esta falta de disciplina para identificar y revisar debilidades y riesgos deriva en
otro problema identificado por los expertos: existe una disparidad entre la
confianza que las empresas tienen en su protección digital y el nivel de seguridad que poseen en realidad. Cuando una empresa cree estar más protegida de lo que está, se vuelve más difícil identificar prioridades, justificar inversiones y corregir los puntos críticos.
“Muchas empresas avanzan en ciberseguridad casi a ciegas, sin una percepción
concreta de cuáles son sus vulnerabilidades reales. Esto provoca esfuerzos
dispersos y decisiones que no siempre responden a las necesidades más urgentes. Cuando la organización logra identificar con precisión su nivel de
exposición, es posible organizar las prioridades y construir un camino evolutivo
mucho más coherente”, afirma Daniela Álvarez de Lugo, Gerente General para
la Región Norte de América Latina en Kaspersky.
Para cambiar este escenario, el ejecutivo de Kaspersky recomienda que los
responsables de seguridad adopten un enfoque pragmático, basado en un
diagnóstico estructurado del estado de la ciberseguridad actual y/o un análisis de riesgos basado en el impacto que un incidente podría generar en su organización, como el Análisis Factorial del Riesgo de la Información (FAIR, por sus siglas en inglés).
A partir de ese diagnóstico, ya sea un análisis de debilidades o una matriz de
riesgos, el equipo de seguridad contará con un documento objetivo que identifica las áreas críticas que requieren mejoras y deben recibir las primeras inversiones. Además, este insumo expone las razones para justificar cada inversión y define beneficios concretos y medibles.
La ejecutiva destaca que recientemente muchas empresas han sido noticia tras
sufrir un ciberataque, aumentando la preocupación de los directivos por los riesgos digitales. Aunque el presupuesto puede ser un limitante, señala que una estrategia de ciberseguridad pragmática puede establecer un nivel de protección adecuado para cada organización, así como la inversión y el tiempo que se requieren para alcanzarlo.
“Desde negocios pequeños que buscan establecer controles básicos hasta
grandes corporaciones que requieren una arquitectura más sofisticada, todas
pueden plantear mejoras de forma objetiva. La diferencia está en la magnitud del trabajo, no en la necesidad de contar con una dirección clara”, agrega.
Para garantizar un ciclo de mejora continua y una medición constante del avance, Kaspersky recomienda las siguientes medidas para asegurar la eficacia de las inversiones en ciberseguridad:
● Establecer un calendario de evaluaciones de riesgo recurrentes, con
una periodicidad mínima trimestral o semestral.
● Realizar simulaciones de ataques mensuales o trimestrales, incluso en
formato simplificado, para medir avances o identificar la necesidad de
ajustar las acciones de mitigación y respuesta ante incidentes.
● Definir indicadores de riesgo claros, vinculados a los planes de
continuidad e impacto operativo en el negocio.
● Revisar políticas y controles con base en datos de nuevos ataques o
riesgos, disponibles mediante servicios de Inteligencia de Amenazas, y
no solo por criterios de cumplimiento normativo. El uso de este tipo de
información aumenta las posibilidades de neutralizar ataques en curso, y
los casos de éxito ayudan a justificar inversiones.
● Alinear las inversiones a los resultados esperados, priorizando
correcciones que reduzcan exposición y fortalezcan la gobernanza
empresarial.
Para conocer más sobre la investigación de Kaspersky, descarga el informe de la encuesta CISO 2025.
⚠ El contenido compartido en este blog está protegido por las leyes de derecho de autor. Si deseas reproducirlo en otros espacios, por favor atribuye la autoría al creador original del contenido. Si planeas utilizarlo con fines comerciales, te pedimos que nos contactes previamente para obtener la debida autorización.
